En primer plano: Cuando se produce un ciberataque: proteger y reparar la reputación de la marca

Por los autores invitados: Sean Wood y Katherine Goodyear

Bienvenido a la última edición de Spotlight. Spotlight es nuestra forma de compartir ideas y perspectivas de nuestros socios estratégicos (abogados, aseguradoras, gestores de riesgos y expertos en comunicación de crisis de todos los sectores) sobre cuestiones que pueden influir en la visión de una empresa sobre los incidentes que se producen en el mercado y la gestión de crisis.

En esta edición, nos acompañan Sean Wood, vicepresidente ejecutivo, y Katherine Goodyear, directora de cuentas deWeber Shandwick, para ofrecer una visión general de las comunicaciones en materia de ciberseguridad. Analizamos qué deben hacer las empresas para planificar la respuesta ante un incidente y las medidas prácticas que deben adoptar para minimizar al máximo el impacto, proteger y mejorar la reputación de la marca en caso de que se produzca.

Prólogo de Chris Harvey, vicepresidente sénior de servicios al cliente de Sedgwick:

Sigue leyendo para conocer más opiniones de Sean Wood y Katherine Goodyear.

Los incidentes de ciberseguridad se encuentran entre las amenazas más graves para el negocio y la reputación de las empresas, y pueden erosionar rápidamente la confianza de las partes interesadas clave, desde los clientes hasta los empleados y el público en general. Además, son difíciles de resolver, costosos y están aumentando rápidamente.

Seprevé quelos delitos cibernéticoscausen daños por valor de aproximadamente 6 billones de dólares estadounidenses en todo el mundoen 2021, lo que supone el doble que en 2015, ylos ataques de ransomware se dispararon un 151 %en la primera mitad de 2021, en comparación con todo el año 2020. El aumento constante de estos incidentes, su sofisticación y su potencial impacto operativo y financiero subrayan la importancia de que las empresas de todos los sectores estén preparadas.

De hecho, una recienteencuesta globalrealizada porKRC ResearchyWeber Shandwicka ejecutivos de 12 países reveló que la ciberseguridad y la privacidad de los datos son las dos principales preocupaciones de los ejecutivos a la hora de tomar decisiones empresariales importantes.

Avanzar planificando con antelación

Aunque la gente entiende que los incidentes de ciberseguridad ocurren, a menudo juzga a las empresas y organizaciones por cómo responden, y las hace responsables cuando la información se expone o se utiliza indebidamente. Por esta razón, la prioridad número uno de la empresa debe ser contar con un plan previo al incidente que le permita responder rápidamente a un ataque.

Esta planificación no solo es lo correcto para proteger la información personal y comercial confidencial y la reputación de la marca, sino que los clientes, las aseguradoras y el gobierno están subrayando la importancia de reforzar los planes de respuesta ante incidentes. Recientemente, el presidente de los Estados Unidos, Joe Biden, celebró unareuniónen la que describió la ciberseguridad como un «reto fundamental para la seguridad nacional» y pidió al sector privado que reforzara la ciberseguridad del país, tanto de forma conjunta como individual, haciendo hincapié en la necesidad de resolver la escasez de personal cualificado en materia de ciberseguridad. Tras las reuniones de la Iniciativa contra el ransomware celebradas en octubre por el Consejo de Seguridad Nacional de la Casa Blanca, más de 30 países y la Unión Europea emitieron unadeclaración conjuntade cooperación para mejorar la resiliencia nacional, combatir las finanzas ilícitas, desarticular a los delincuentes que utilizan ransomware y utilizar la diplomacia como herramienta para combatir el ransomware.

En este caso, planificar significa:

• Desarrollar o actualizar un plan de respuesta ante incidentes.Estos planes, que abarcantanto las respuestas operativas como las comunicaciones, deben estar integrados y describir quiénes deben participar, las funciones y responsabilidades, los niveles y umbrales de riesgo, e indicar un proceso para comunicarse rápidamente con las partes interesadas afectadas.
• Establecer una planificación de escenarios para riesgos e incidentes potenciales.El plan de escenarios debe incluir consideraciones y orientaciones específicas para cada situación, así como plantillas de mensajes para las partes interesadas que puedan actualizarse rápidamente con los datos de la situación real en caso de que se produzca un incidente.
• Prueba del plan.La realización de simulacros realistas es una parte importante del proceso de planificación y preparación para poner a prueba la capacidad de la organización para funcionar de acuerdo con el plan y los protocolos. También permitirá identificar las deficiencias en los procesos que deben subsanarse antes de que se produzca un incidente real.
• Invertir por adelantado.Algunas organizaciones pueden sentir que no pueden invertir por adelantado para contar con un centro de llamadas de contingencia u otras soluciones, pero es la mejor manera de evitar estar desprevenidos. Esta inversión puede incluir la creación de un centro de llamadas para notificar pérdidas o responder a infracciones. También puede implicar un centro de información secundario alojado por separado o un micrositio, que se puede activar rápidamente para comunicarse con las partes interesadas a través de canales alternativos en caso de que se pierda el acceso a los sistemas.

Ahora, cuando se produce un incidente, su empresa u organización está mejor preparada para gestionar la situación, activar el plan establecido y centrarse en mitigar cualquier riesgo.

Implementación del plan

Cuando se produce un incidente, la empresa debe activar inmediatamente su plan de respuesta a incidentes, que se actualiza periódicamente. Sea transparente, pero no se adelante a los hechos. El análisis forense de datos suele llevar tiempo, por lo que es importante comunicar solo los hechos confirmados y reconocer que la situación es cambiante y puede variar. Para minimizar el impacto, proteger y, potencialmente, mejorar la reputación de la marca, hay varias consideraciones que hay que tener en cuenta:

• Percepción: A menudo, la percepción es que una empresa u organización es responsable incluso si no es culpable de la filtración de datos. Las partes interesadas pueden perdonarle y le perdonarán los fallos de seguridad, la mala suerte o incluso ambas cosas. Pero intentar desviar la culpa puede ser contraproducente. Los afectados por el percance lo ven de forma sencilla: le confiaron su información y usted la perdió.
• Control:Es posible que usted(la empresa u organización) no tenga control sobre el momento de la divulgación. Hay muchos factores que pueden acelerar su respuesta. Por ejemplo, los países y los estados de EE. UU. tienen diferentes requisitos de divulgación. El ciclo mediático o los comentarios en las redes sociales también pueden obligarle a hacerlo. Los hackers filtran información confidencial a la web, que luego es recogida por periodistas y blogueros especializados en ciberseguridad. El personal también puede filtrar inadvertidamente información sensible, lo que agrava el problema.
• Obligación: Las empresasy organizaciones pueden tener obligaciones contractuales de divulgar el incidente. Cada vez más, los contratos con proveedores y socios incluyen cláusulas que exigen a las empresas divulgar cualquier infracción, independientemente de los requisitos normativos. Si la empresa es pública, puede haber un impacto significativo y consideraciones relacionadas que deben tenerse en cuenta, además de las divulgaciones reglamentarias.
• Comunicación: Notodos los incidentes requieren una comunicación proactiva de toda la situación a todos los públicos. La decisión de ser proactivo o reactivo y con qué públicos es matizada y no existe un modelo único válido para todos los casos. Incluso si no existen requisitos contractuales o normativos, las empresas pueden tener la obligación ética de divulgar la información, a menudo debido al alcance de la infracción y a la probabilidad de que se haga pública. (Consejo profesional: siempre es mejor que sus partes interesadas se enteren por usted antes que descubrirlo por primera vez en los medios de comunicación. Al hacerlo, demuestra que se toma en serio la protección de su información).
• Valores:Basar siemprela respuesta empresarial en los valores empresariales. ¿A quién representa como empresa y qué esperan de usted sus partes interesadas? Vea la situación desde su perspectiva y responda en consecuencia.

El alarmante aumento de los incidentes de ciberseguridad durante el último año, así como el número de violaciones de seguridad que han tenido gran repercusión mediática, ponen de relieve que nunca ha sido tan importante estar preparados. Con un número cada vez mayor de organizaciones y empresas que adoptan un modelo de trabajo híbrido, el riesgo de violaciones de datos no hace más que aumentar. Los autores de las amenazas verán una oportunidad en la plantilla que trabaja a distancia, y debemos esperar que sigan evolucionando y adaptando sus operaciones a la nueva normalidad.

Dar prioridad a la planificación de la ciberseguridad ahora ayudará a garantizar que su organización esté preparada en caso de que se produzca un incidente, ya que no se trata de «si» se producirá un ciberataque, sino de «cuándo» se producirá.

Descargue una copia de este artículo destacadoaquí.

Acerca de nuestros autores invitados, Sean Wood y Katherine Goodyear:

Sean Wood es vicepresidente ejecutivo del departamento global de crisis y asuntos conflictivos de Weber Shandwick, donde lleva más de 25 años ayudando a los clientes a proteger su reputación en situaciones de alto riesgo. Sean aporta su visión sobre la reputación corporativa y de marca a la gestión de crisis y asuntos conflictivos para ayudar a los líderes empresariales a abordar situaciones complejas con estrategias integradas que mitiguen el riesgo.

Katherine Goodyear es directora del departamento de crisis y asuntos conflictivos de Weber Shandwick en Nueva York. Katherine asesora a los clientes en los asuntos más complejos y delicados para proteger su reputación. Ofrece una gama completa de servicios de comunicación de crisis, ayudando a los clientes a gestionar los incidentes de ciberseguridad.